1、首先是制定计划,需要考虑Scrum安全问题、基线、代码规范、安全培训、威胁建模,注意收集相关安全需求。
2、接下来就是创建项目,要考虑安全IDE插件、安全拼写检查器、威胁建模、安全架构评估、开源产品评估。
3、然后是验证过程,包括扫描已知漏洞,扫描基线、配置,扫描未知漏洞,SCA执行OSS策略,SAST、DAST,IAST、RASP等。
4、再接下来是安全测试,要涉及已知攻击测试,Fuzz测试,Chaos Monkey,代码签名,覆盖面尽可能考虑周全。
5、做好安全测试之后,就要进行安全发布了,一定要保证正确的部署,务必要注意一致性:签名验证、完整性检查。
6、同时还要考虑相关的的防护措施,包括深度防御措施,应用安全控制,网络防护,尽量能能够做到防患于未然。
7、最后,还要确保各种检测的持续性,快速响应的及时性,避免被异常屏蔽或混淆,要充分利用已用数据进行主动预测。
